网络协议软件漏洞挖掘技术综述

网络协议软件部署和应用非常广泛,在网络空间提供了诸如通信、传输、控制、管理等多样化的功能.近年来,其安全性逐渐受到学术界和工业界的重视,及时发现和修补网络协议软件漏洞,成为一项重要的课题.网络协议软件由于部署形态多样、协议交互过程复杂、相同协议规范的多个协议实现存在功能差异等特点,使得其漏洞挖掘技术面临诸多挑战.首先对网络协议软件漏洞挖掘技术进行分类,对已有关键技术的内涵进行界定.其次,进一步综述网络协议软件漏洞挖掘4个方面的技术进展,包括网络协议描述方法、挖掘对象适配技术、模糊测试技术和基于程序分析的漏洞挖掘方法,通过对比分析归纳不同方法的技术优势及评价维度.最后,总结网络协议软件漏洞挖掘的技术现状和挑战,并提炼5个潜在研究方向.

基于RADIUS协议的网络认证技术研究

介绍了远程用户拨号认证(RADIUS)协议的工作原理和使用的安全算法,分析了其安全性和可能存在的安全漏洞,提出了改进的RADIUS协议以增加网络的安全性能.利用该协议建立了提供给运行商用于无线接入网络的网络认证、授权和计费(AAA)系统.该系统不增加协议的通信复杂性,并具有简单和易实现的特点.

SSFuzz:状态敏感的网络协议服务灰盒模糊测试技术

网络协议服务作为个人设备与互联网交互的接口,其脆弱性严重威胁用户的隐私和信息安全。最先进的网络协议灰盒模糊测试工具在代码覆盖率的基础上引入了状态反馈,通过分析网络协议服务的状态信息,进一步筛选有效的变异种子。但是,不同的模糊测试工具对网络协议服务状态有着不同的定义,如AFLNET通过分析服务器响应数据包的内容提取状态,StateAFL定义长寿命内存作为程序状态。在状态收集上,SGFuzz通过分析Enum类型数据定义,识别状态变量的赋值语句并插桩。然而,SGFuzz无法识别状态变量的间接赋值语句,对于状态变量的识别并不全面。同时,在构建状态机时,不同的模糊测试技术对状态机节点有着不同的定义,难以在同一个模糊测试工具上同时使用多种状态收集策略。此外,在实验设计上,现有的方案倾向于比较相同时间内的代码覆盖率情况。但是,代码覆盖率的增长受到多方面因素的影响,如吞吐量、种子筛选策略等。相同时间内的代码覆盖率实验适用于不同模糊测试工具之间的比较,对于其中单个模块的改进实验则不适用。针对以上问题,提出了SSFuzz。具体地,SSFuzz研究了基于状态变量的插桩方式,依据代码编译过程中的抽象语法树信息,识别状态变量赋值的间接赋值方法,能够更精准地对状态变量赋值语句进行插桩;其次,SSFuzz对用于指导状态筛选的状态机进行了定义,该方法有助于不同的状态反馈策略共同构建状态机。实验结果表明,SSFuzz能够实现对大部分网络协议服务的插桩,并且相较于SGFuzz,能够实现对间接赋值语句的插桩。此外,讨论了适用于评估状态机有效性的实验方法,并证明了SSFuzz能够以更少的测试样例数量达到更高的路径覆盖率。

网络安全中的RADIUS协议应用与动态口令

RADIUS(Remote Authentication Dial In User Service),即远程拨入用户鉴权服务,它实际上是基于网络安全的需要而产生的.随着个人用户远程接入网络各种方式的产生,如PPP、SLIP、Telnet、Rlogin等,伴随而来的便是对远程用户登录权限的验证问题.观察如下远程用户接入的基本结构图(图一)可知:由于NAS(NetworkAccessServer,网络接入服务器)通过Modem池与外界有实际物理连接,将远程用户鉴权信息数据库放在NAS中显然是不合适的,这就导致了RADIUS服务器的产生.

基于消息序列归属优化的网络协议灰盒模糊测试方法

基于覆盖引导的网络协议灰盒模糊器AFLNET技术在网络安全测试领域较受关注,且已有较多优秀研究成果。在对AFLNET及其衍生工具进行分析后,文中发现其在对消息序列归属、消息序列评估以及消息序列变异点位置选取3个方面存在不足,并提出了基于消息序列归属优化的网络协议灰盒模糊方法。该方法定义了偏好度概念用于衡量消息序列能够给每个状态带来模糊收益的大小,同时提出了新的消息序列归属算法并结合偏好度对有趣消息序列进行重新归属。利用多维度的反馈信息构造出一个评估函数,用于更加准确地计算出每个消息序列真实的潜力。还提出了一种新的变异点分析算法,用于帮助模糊器过滤掉已变异位置,转而对其他更有趣的变异位置进行变异。实验结果表明,相比于主流方法,基于所提方法实现的QFuzzer在路径覆盖数方面提升了6.94%~11.04%,在漏洞发现数方面提升了7.24%~30.70%。

CDMA2000 1x EV-DO网络RADIUS协议解码方法的研究与实现

在对RADIUS协议格式和C网A12、P1口的信令流程深入分析的基础上,设计了一种基于Hash算法的RADIUS协议字典,将文本文件格式的字典按特定字段重新组织,以提高查询效率。针对C网RADIUS协议提出一套基于字典的解码方法,利用查询字典的方式进行字段解析。将该方法应用于信令监测系统中,结合现网数据进行测试,解码结果准确,解码速度提高了约25%,测试结果验证了该解码方法是有效的。

基于Radius协议的网络计费系统设计与实现

介绍了Radius协议的原理以及网络计费的原理和各种类型,并在此基础上给出了一个基于Radius协议的局域网计费系统的实现方案。

基于人机协作迭代分析的网络协议逆向方法

协议逆向分析在网络安全领域具有重要意义,现有方法主要依靠计算机进行自动化推断,并未考虑人的经验知识干预条件下可能带来的信息增益,存在准确性较低的问题。鉴于此,提出了一种基于人机协作迭代分析的网络协议逆向方法,该方法基于人机协作协议逆向分析框架,利用XML将人的经验知识进行知识表征,通过迭代式修正阶段性分析结果,克服了因缺乏知识辅助而导致的协议词法、语法及状态机推断准确率较低的问题。以典型工控协议数据样本为例进行了实验和对比分析,结果表明了该方法的有效性和可行性。

AFLNeTrans:状态间关系感知的网络协议模糊测试

网络协议是现代通信系统中不可缺少的部分,其实现程序的安全性不容忽视。模糊测试已经成为现代漏洞挖掘的主流方式,并在软件安全领域中取得了较大的成功。网络协议模糊测试通常指对网络协议实现程序进行模糊测试,然而传统模糊测试在此类程序的测试上仍存在一些问题。首先,由于网络协议实现程序中不同状态对应不同代码,传统灰盒模糊测试中使用的代码覆盖不能表示网络协议实现程序的内部状态。其次现有灰盒协议模糊器中的状态引导机制依赖于代码覆盖率,不能很好地挖掘网络协议实现程序的状态间关系。对此,文章提出了一种由协议状态间关系和程序代码覆盖率共同引导模糊测试过程从而提升模糊测试效果的模糊器AFLNeTrans,其利用状态间关系作为主要引导机制,引导模糊测试快速探索协议实现程序更多的状态空间,并在Profuzzbench上对其进行了评估实验。实验结果表明,AFLNeTrans在发现状态转移数量上有较明显的提升,并且在代码覆盖率和unique_crash数量上相比现有工具也有提升。

RADIUS协议在GPRS网络监测中的研究与实现

介绍了RADIUS协议在GPRS网络Gi接口监测的基本概念和功能,说明RADIUS协议监测模块消息结构,并以此为基础研究RADIUS协议的解码、重点探讨CDR合成及统计技术、并以RADIUS认证、计费过程为例,详细阐述合成及原理与方法,通过数据采集测试验证了相关理论的有效可行性。

基于RADIUS和数字证书的无线网络接入认证技术研究

随着网络技术的发展,无线网络接入认证技术的应用越来越广泛。通过远程认证拨入用户服务(Remote Authentication Dial In User Service,RADIUS)和数字证书配合使用,可以实现较为安全完善的无线网络接入认证。介绍RADIUS和数字证书的相关概念,概述使用RADIUS和数字证书进行无线网络接入时的网络拓扑与接入认证过程,给出RADIUS代理服务器、认证服务器以及数字证书的配置方法同时,给出验证该无线网络接入认证技术的方法,也是Linux客户端进行网络接入认证的方法。通过搭建RADIUS网络接入环境,使用数字证书作为认证凭证,实现客户端对无线网络的接入认证。

浅析RADIUS协议的网络认证技术

RADIUS协议是被广泛用于网络认证。计费等系统的协议。文中以RADIUS协议为研究视角,介绍了RADIUS协议的工作原理、认证流程和及RADIUS服务器地址及分析情况。

职业院校网络协议分析课程新形态数字化教材开发研究

通过选取职业院校信息安全技术应用专业《网络协议分析》教材为研究对象,分析《网络协议分析》教材存在的问题,从数字融合、岗位对接、立德树人三个角度拓展新形态数字化教材的开发理路,对网络工程师和网络安全运维工程师岗位群职业能力清单进行梳理与剖析,探索活页式网络协议分析数字化教材的实践应用,推动职业教育新形态数字化教材的开发与构建。

基于网络协议的汽车信息安全研究

随着汽车技术的快速发展,车载网络通信系统作为汽车内部各个系统之间的桥梁,发挥着至关重要的作用,但随之而来的信息安全问题也日益突出。因此,从汽车信息安全的角度出发,设计安全合理的车载网络通信架构至关重要。安全合理的车载网络系统架构的设计,需要从网络协议的理论基础出发才能设计出灵活、高效和安全性的车载网络通信系统。

Radius协议在IPv6网络中的应用

文章对远程认证拨号用户服务(RADIUS)协议进行了阐述,给出了radius协议中和IPv6网络相关的属性描述,并针对这些属性在IPv6网络中的应用做出了介绍。

802.1x标准和Radius协议的扩展应用研究

首先介绍了802.1x标准和RADIUS协议的基本概念和原理,并对802.1x标准和RADIUS协议在宽带网络和无线网络中的应用做了分析,结合实际应用的需求,指出了802.1x标准和RADIUS协议在实际应用中的不足与缺陷,分析其难以推广的原因,提出了实现扩展应用的设计方案和具体实现方法,以符合宽带环境下认证和计费的实际应用需求。

RADIUS协议在AAA系统中的应用研究

RADIUS协议在宽带网络认证授权计费解决方案AAA认证系统中得到了广泛应用。介绍了RADIUS协议的结构特点、报文内容、AAA系统架构和802.1x标准,讨论了RADIUS认证的工作流程,研究了RADIUS协议的认证机制以及在Linux环境下RADIUS服务器的配置方法,建立了RADIUS认证服务器的功能模型,分析了RADIUS协议所采取的安全措施以及存在的安全隐患,并对其安全性的进一步完善提出了建议。

RADIUS协议认证和授权方法及包结构

ＲＡＤＩＵＳ（Ｒｅｍｏｔｅ Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ｄｉａｌ Ｉｎ Ｕｓｅｒ Ｓｅｒｖｉｃｅ）协议是一种基于ｃｌｉｅｎｔ／ｓｅｒｖｅｒ的拔号认证协议标准，其主要用途是进行身份认证，授权和计费、介绍了ＲＡＤＩＵＳ协议在网络接入服务器和认证服务器间进行认证和授权的方法，以及数据包的格式．

Wireshark环境下的网络协议解析与验证方法

网络协议解析通过程序分析网络数据包的协议头及其负载,是一系列网络功能的基础。分析了Wireshark的功能、作用、体系结构以及开发环境,给出了Wireshark在Windows系统下对网络协议解析的两种方法,总结了两种方法的特性。实验结果表明,在两种方式下添加的协议解析器都能正确解析网络数据包相应协议并分析数据包的负载内容,对网络协议的解析与验证及网络数据包的内容分析具有借鉴意义。

MD5加密算法及其在RADIUS协议中的应用

拨号上网用户要将用户名、密码等敏感信息进行传输,这就需要对信息进行加密并认证用户的身份。远程认证拨号接入用户服务协议是目前应用最广泛的身份验证和授权拨号网络用户的方法。在某园区的拨号上网系统的实现中,文章利用MD5加密算法的定长输出特性,对拨号用户的用户名、密码等信息实现了加密传输,在带宽受限的情况下,保证了网络数据的安全性和用户认证的效率。